MCPに潜むセキュリティリスクを考えてみる

Transcript

1. MCP に潜むセキュリティリスクを考えてみる Milix-M 2025/07/23

2. 目次 自己紹介 MCP（Model Context Protocol）とは MCPの何がすごい？ MCPサーバを使う上でのセキュリティリスク 実際の事例 攻撃手順(例) イメージ

   この攻撃の何が怖い？ まとめ 2

3. 自己紹介 Milix-M （みりっくす） X: @_milix_m Zenn: @milix_m 年齢: 19歳（今年で20歳） 社会人2年目

   出身地: 岐阜県岐阜市 鵜飼や岐阜城が有名です 誕生日: 12月25日 趣味: 車・VR VRは総プレイ時間10000h↑ LT 初めてです。頑張ります 3

4. 皆さんMCP 使ってますか？ GitHub, Playwright, Notion, FileSystem... 4

5. MCP （Model Context Protocol ）とは AIと外部ツールを連携させるためのオープンな標準規格 MCPを通じて何らかのツールを提供するサーバの事をMCP Server と呼ぶ Local

   MCP Server Remote MCP Server Gemini CLI, Claude CodeといったAIエージェントツールが使われる ようになり、 MCPサーバも色々な用途で様々な人に使われるようになっている 5

6. MCP の何がすごい？ AIを通じて外部ツールを操作しやすくなる 今までバラバラだった「呼び出し方」や「使い方」が共通化され る AIに情報を渡したり... AIがサービスを操作したり... MCP開発のSDKを使用することで比較的容易にAIと外部ツールを繋 げられ、（外部サービス提供者から見て）AIエージェント利用者に サービスを触ってもらえる

   6

7. 突然ですが... MCP を使う中で セキュリティ 意識したことありますか？ 7

8. MCP サーバーを使う上でのセキュリティリスク AIに外部サービスを繋げるという仕組み上、 セキュリティリスクもある コマンド/プロンプト インジェクション ツール汚染攻撃 MCPサーバが提供するツールの説明文に悪意のあるコードを 埋め込む攻撃 ラグプル攻撃

   ツールが使用されるようになった後説明文を変更し攻撃 etc... 8

9. 実際の事例 GitHub公式のMCPサーバが利用された 攻撃者が悪意のあるGitHub Issueを介してユーザーのAIエージェ ントを乗っ取り、プライベートリポジトリからデータを漏洩させ られる脆弱性 参考: https://invariantlabs.ai/blog/mcp-github-vulnerability 9

10. 攻撃手順( 例) 1. 悪意のあるIssueの作成 攻撃者がパブリックリポジトリに、プロンプトインジェクション を起こさせる内容を含むIssueを作成 2. ユーザー・エージェント操作 ユーザー操作により、エージェントが悪意のあるIssueを読み取 ってしまいプロンプトインジェクションが実行される

    3. プライベート情報の漏洩 エージェントが攻撃者の指示に従い、プライベートリポジトリか ら情報を取得し、パブリックリポジトリにプルクリエストとして 機密情報を公開 10

11. イメージ 11

12. この攻撃の何が怖い？ GitHub MCPサーバーコード自体の欠陥ではない AIエージェントレベルで対処する必要があるアーキテクチャ上の 問題 MCPプロトコル自体はセキュリティ対策が組み込まれていな い サーバー側のパッチを通じてこの脆弱性を解決することはできな い 同様な攻撃が他のMCPサーバーでも起こり得る

    12

13. 対策・まとめ MCPを通じてAIエージェントが外部ツールを操作するため、 その部分のセキュリティリスクを意識することも重要 現状としては人間の確認が一番の対策になる 個人はもちろん、業務などで利用する場合は信頼できる公式の MCPサーバを使用する、 （可能なら）ざっとコードを確認してみるなどの対策が必要 それこそ, そのコードをAIに読ませるのでも良い 13

14. セキュリティも意識して MCP を使って楽しいAI ライフを！！ 14

15. ご清聴ありがとうございました！ 15